工控網(wǎng)絡(luò)安全測評系統(tǒng)的設(shè)計與實現(xiàn)

唐安明，袁曉舒，趙 偉

(1.東方電氣集團科學技術(shù)研究院有限公司，四川 成都 611731；2.陸軍裝備部駐重慶地區(qū)軍事代表局，重慶 400000)

0 引言

工業(yè)自動化和控制系統(tǒng)(IACS)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，隨著工業(yè)信息化、工業(yè)互聯(lián)網(wǎng)進程的快速推進，信息、網(wǎng)絡(luò)技術(shù)在工控領(lǐng)域得到了廣泛應(yīng)用，同時工控系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅和風險也日益加劇。

為實現(xiàn)工業(yè)自動化和控制系統(tǒng)的網(wǎng)絡(luò)安全，工業(yè)過程測量、控制與自動化、網(wǎng)絡(luò)與系統(tǒng)信息安全工作組(IEC/TC65/WG10)與國際自動化協(xié)會(ISA 99)的聯(lián)合工作組經(jīng)過多年工作，制定出IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標準[1]。該系列標準針對工業(yè)生產(chǎn)過程中涉及的網(wǎng)絡(luò)安全問題，充分考慮了各參與方(資產(chǎn)所有者、系統(tǒng)集成商、系統(tǒng)供應(yīng)商)的不同需求。

參照工控系統(tǒng)網(wǎng)絡(luò)安全標準，結(jié)合工控系統(tǒng)安全需求的實際情況，分析系統(tǒng)面臨的安全威脅和風險。評估系統(tǒng)安全能力水平對系統(tǒng)集成商和系統(tǒng)供應(yīng)商都十分重要。通過工控系統(tǒng)網(wǎng)絡(luò)安全測評，查找突出問題和薄弱環(huán)節(jié)，有針對性地采取安全防范對策和改進措施，能有效提高工控系統(tǒng)網(wǎng)絡(luò)安全的保障能力。

1 工控網(wǎng)絡(luò)安全測評研究

1.1 IEC 62443系列標準簡介

IEC 62443系列標準是針對工業(yè)自動化和控制系統(tǒng)(IACS)信息安全的標準，根據(jù)系統(tǒng)集成商、系統(tǒng)供應(yīng)商、資產(chǎn)所有者等不同的對象，分13個子標準，分別描述了工控系統(tǒng)網(wǎng)絡(luò)與信息安全相關(guān)的管理和技術(shù)手段[2]。IEC 62443標準體系如圖1所示。

IEC 62443系列標準提供了一個靈活的框架，具備對工控系統(tǒng)的產(chǎn)品開發(fā)、集成、實施和運維等全生命周期環(huán)節(jié)中實現(xiàn)和評價相關(guān)角色的網(wǎng)絡(luò)安全能力，有助于解決工控系統(tǒng)已知和未知的系統(tǒng)脆弱性[3]。

IEC 63443-1系列包含4個標準，主要是概念和模型的定義，包括安全目標、風險評估、全生命周期、安全成熟度模型。

IEC 62443-2系列包含4個標準，主要介紹在集成、實施和運維中如何實現(xiàn)網(wǎng)絡(luò)安全，目標對象主要是業(yè)主和系統(tǒng)服務(wù)商。

IEC 62443-3系列包含3個標準，主要介紹產(chǎn)品級的系統(tǒng)集成如何實現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品系統(tǒng)集成的安全工具、技術(shù)措施等如何去滿足安全等級，目標對象主要是系統(tǒng)集成商。

圖1 IEC 62443標準體系

IEC 62443-4系列包含2個標準，主要介紹單個產(chǎn)品或者獨立組件如何實現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品開發(fā)和技術(shù)設(shè)計上的網(wǎng)絡(luò)安全要求，比如主機、嵌入式裝置等，目標對象是單個產(chǎn)品或者獨立組件的制造商和供應(yīng)商。

1.2 IACS組件安全技術(shù)要求

IACS單個產(chǎn)品或者獨立組件的安全能力是系統(tǒng)集成商采購、選型的重要指標，同時也能指導(dǎo)產(chǎn)品制造商在開發(fā)時進行合理規(guī)劃和設(shè)計。

IEC 62443-4-2作為IEC 62443系列標準的一部分，主要規(guī)定了系統(tǒng)組件在技術(shù)設(shè)計上的網(wǎng)絡(luò)安全要求，目標對象是單個產(chǎn)品或者獨立組件的制造商和供應(yīng)商[4]。

IEC 62443-4-2標準為IACS定義了4個組件類型和7個基本要求。4個組件類型為主機設(shè)備、嵌入式設(shè)備、網(wǎng)絡(luò)設(shè)備、軟件應(yīng)用程序。7個基本要求(FR)為標識和鑒別控制(IAC)、使用控制(UC)、系統(tǒng)完整性(SI)、數(shù)據(jù)保密性(DC)、受限數(shù)據(jù)流(RDF)、事件的及時響應(yīng)(TRE)、資源可用性(RA)，這7個基本要求是定義控制系統(tǒng)安全能力級別的基礎(chǔ)[5]。

7個基本要求(FR)映射到組件能力安全等級SL1～SL4，控制系統(tǒng)能力安全等級0被隱含地定義為沒有要求，SL4表示最高安全等級。4個安全等級定義如下[6]。

1)SL1：防止竊聽或不經(jīng)意的暴露導(dǎo)致的未經(jīng)授權(quán)的信息披露。

2)SL2：防止未經(jīng)授權(quán)地將信息泄露給通過少量資源、通用技能和低動機的簡單手段主動進行信息搜索的實體。

3)SL3：防止未經(jīng)授權(quán)地將信息泄露給通過中度資源、IACS特殊技能和中度動機的復(fù)雜手段主動進行信息搜索的實體。

4)SL4：防止未經(jīng)授權(quán)地將信息泄露給通過擴展資源、IACS特殊技能和高動機的復(fù)雜手段主動進行信息搜索的實體。

1.3 測評系統(tǒng)需求分析

IEC 62443-4-2標準主要是對產(chǎn)品安全防護功能的要求，對應(yīng)FR1-FR7 7項基本要求、SL1-SL4四項安全等級要求，對于個別組件還有增強要求，整個標準所覆蓋的測評項目眾多，測評過程數(shù)據(jù)、結(jié)果數(shù)據(jù)龐大。依靠測評人員對照標準進行測評，工作量大、效率低，常出現(xiàn)以下問題。

1)單個測評項目，測評條款較多，容易出現(xiàn)漏評、漏測。

2)測評項目對應(yīng)的過程數(shù)據(jù)容易出現(xiàn)丟失或與實測項目不一致。

3)測評結(jié)果顯示不直觀、測評報告不規(guī)范、結(jié)果可追溯性差。

4)不便于多個測評項目并行開展測評結(jié)果對比統(tǒng)計；對測評人員專業(yè)化要求高，測評效率低。

為了解決以上問題，本文基于IEC 62443-4-2標準，研究測評業(yè)務(wù)工作流程，進行工控系統(tǒng)網(wǎng)絡(luò)安全測評系統(tǒng)的開發(fā)與設(shè)計。

2 測評系統(tǒng)的設(shè)計

2.1 總體架構(gòu)設(shè)計

基于測評工作的客觀性和可重復(fù)性原則，嚴格參照IEC 62443-4-2標準，根據(jù)測評軟件的需求分析，測評軟件設(shè)計了測評計劃管理、測評報告、結(jié)果分析、知識庫管理、工具管理、人員管理6大功能模塊，系統(tǒng)總體架構(gòu)如圖2所示。

系統(tǒng)采用B/S架構(gòu)設(shè)計(見圖3)。用戶通過瀏覽器登錄、進入測評系統(tǒng)，按照測評業(yè)務(wù)流程，進行測評計劃執(zhí)行、測評報告導(dǎo)出、測評結(jié)果分析等工作。測評標準、測評報告、測評過程數(shù)據(jù)等均在數(shù)據(jù)庫進行存儲。同時，考慮系統(tǒng)的兼容性和擴展性，用戶除可以直接打開第三方工具軟件，還可通過測評系統(tǒng)進行工具軟件的調(diào)用和管理。

圖2 系統(tǒng)總體架構(gòu)

圖3 系統(tǒng)網(wǎng)絡(luò)架構(gòu)

2.2 系統(tǒng)功能設(shè)計

2.2.1 測評計劃管理

測評計劃管理包含了新建、編輯、刪除、復(fù)制、執(zhí)行功能。測評計劃表單包含測評計劃名稱、系統(tǒng)名稱、測評標準等信息，如表1所示。

表1 測評計劃表單

新建測評計劃時，依次填寫表格信息。對已建計劃進行再次編輯時，除測評標準、測評等級外其他項目可進行編輯。完成測評計劃創(chuàng)建后，可執(zhí)行測評計劃，開始測評工作。

2.2.2 測評報告

測評報告模塊包含了測評報告導(dǎo)出和過程記錄導(dǎo)出兩項功能。用戶可在完成項目測評后導(dǎo)出預(yù)設(shè)模板的測評報告，提交給送測方或內(nèi)部存檔。項目完整的測評過程數(shù)據(jù)也可根據(jù)需求進行導(dǎo)出操作。

2.2.3 知識庫管理

知識庫管理作為測評標準和報告模板的管理平臺，用戶可進行編輯、上傳、下載等操作。考慮測評軟件的擴展性和通用性，系統(tǒng)初始內(nèi)置IEC 62443-4-2標準，同時提供測評要素表單供用戶進行自定義編輯，可在一個測評計劃里完成多個標準的測評工作。

2.2.4 人員管理

人員管理模塊采用用戶分組、權(quán)限分級設(shè)計，從高到低依次為管理、測評、查看。管理權(quán)限可進行人員管理操作，包含用戶新建、編輯、刪除。

2.2.5 結(jié)果分析

結(jié)果分析模塊具備結(jié)果匯總和風險分析功能，以柱狀圖的形式顯示測評統(tǒng)計結(jié)果以及風險比例情況。

2.2.6 工具管理

進行安全測評時，通常會借助網(wǎng)絡(luò)抓包、滲透測試、漏洞挖掘等網(wǎng)絡(luò)安全常用工具、軟件。工具管理模塊作為系統(tǒng)擴展接口，提供給用戶管理外部測評軟件、測評工具。用戶在測評需要時，可選擇、調(diào)用相應(yīng)工具軟件。

3 測評系統(tǒng)的實現(xiàn)

3.1 軟件開發(fā)編程

本文基于IntelliJ IDEA環(huán)境采用Java編程語言進行測評軟件開發(fā)(見圖4)。IntelliJ IDEA作為一款高效的Java開發(fā)工具，整合了開發(fā)過程中很多的實用功能，具備智能選取、編碼輔助、代碼檢查、代碼分析、重構(gòu)等功能，并支持PHP、MySQL、Python等多種編程語言。

根據(jù)IEC 62443標準的安全能力評價矢量模型：FR { IAC、UC、SI、DC、RDF、TRE、RA }，設(shè)計62443-4-2測評要素表單[7]。以測評用戶的標識和鑒別控制為例(見表2)。CR1.1定義了組件的基本安全要求，RE(1)、RE(2)定義了組件的增強要求，分別對應(yīng)的安全等級也不同。根據(jù)被測組件的安全等級要求，進行相應(yīng)的安全測評。

根據(jù)總體架構(gòu)及系統(tǒng)功能設(shè)計，逐一進行各個功能模塊界面顯示、功能按鈕開發(fā)編程，如圖5所示。

3.2 系統(tǒng)運行測試

IACS測評系統(tǒng)經(jīng)過總體設(shè)計、功能設(shè)計、開發(fā)編程，運行界面如圖6～8所示。

該測評系統(tǒng)已完成內(nèi)部測試和提交第三方單位測評試用，測評業(yè)務(wù)流程清晰、測評項目準確、過程數(shù)據(jù)完整、測評報告規(guī)范，整體使用反饋良好。

圖4 軟件編程環(huán)境

表2 測評要素表單

圖5 軟件開發(fā)編程

圖6 測評系統(tǒng)主界面

圖7 新建測評計劃

圖8 執(zhí)行測評項目

4 結(jié)語

在充分研究IEC 62443-4-2標準以及測評業(yè)務(wù)工作流程的基礎(chǔ)上，設(shè)計并實現(xiàn)了工控網(wǎng)絡(luò)安全測評系統(tǒng)。該系統(tǒng)具備測評計劃管理、測評報告、結(jié)果分析、知識庫管理、工具管理、人員管理功能。經(jīng)運行測試，測評系統(tǒng)操作簡便、流程規(guī)范、可擴展性好，極大提高了測評效率，能較好地滿足測評人員的使用需求，在工控網(wǎng)絡(luò)安全測評領(lǐng)域具備一定的市場推廣價值。